Bezpečnostní střípky za 41. týden

Obecná a firemní bezpečnost IT

Jak kvalitní je vaše bezpečnostní politika, ptá se John Bennett (Strategic Security Consultant, GFI Informatics Limited, Velká Británie – How ‘Good’ is Your Security Policy?  – nepotřebuje poněkud aktualizovat? Odpovězte si např. na následující otázky (kontrolního charakteru):

• Pokrývá vaše současná politika dostatečným způsobem práci s PDA a obdobnými mobilními zařízeními?
• Má vaše organizace politiku pro kontrolu USB paměťových disků?
• Kontrolujete, jak personál používá e-mail a Internet?
• Je využíván kamerový systém CCTV, a to v souladu s doporučeními z příslušné příručky?
• Pokud váš personál pracuje mimo pracoviště, probíhá jeho komunikace s pracovištěm zabezpečeně?
• Znáte legislativu v oblasti monitorování komunikací?

Otázky samozřejmě vycházejí z legislativních podmínek Velké Británie, ale všude se s postupem doby začínají používat nové technologie, u technologií již dříve používaných se mohou objevit nová rizika atd. Doporučení obsažená v ISO-17799 říkají, že bezpečnostní politika by měla být obnovována v pravidelných intervalech.

Autor článku Business continuity strategies: Time for a reality check (Bronna Shapiro, BMC Software) se zamýšlí nad změnami, které v této oblasti (business continuity) nastaly za posledních 25 let (i v návaznosti na hromadné využívání výpočetní techniky) a dává některá doporučení.

Pokud se týká vlastní situace v letošním roce z hlediska firem působících v oblasti informační bezpečnosti, je zde vidět (Say good-bye to choice) jeden zřetelný trend – větší firmy skupují menší. Samozřejmě z hlediska volby uživatele se zmenšuje oblast výběru, na druhou stranu (teoreticky) by tato koncentrace s větším potenciálem měla vést ke zvýšení kvality produktů IT bezpečnosti. Je ale otázkou, jaký to bude mít výsledný dopad na samotného uživatele.

Bezpečnost sítí

Bezpečná síť v deseti bodech – Ten steps to secure networking. Autorka Pamela Warren (Nortel) zde poukazuje na nezbytnost ochran sítě z řady hledisek (perimetr, komunikace, přístupy,…) a dává svá doporučení IT manažerům.

• 1. Používejte rozčleněnou ochranu, využívejte několik vzájemně se doplňujících postupů k prosazení bezpečnostních opatření v různých bodech sítě.
• 2. Při plánování síťové bezpečnosti zvažujte jak problematiku, která se týká lidského činitele, tak i procesy. Používejte dokumentované bezpečnostní politiky, příslušná školení i direktivní nařízení. Je nutné, aby lidé – uživatelé sítě – chápali význam těchto bezpečnostních politik.
• 3. Jasně definujte bezpečnostní zóny a uživatelské role. Používejte firewally, filtry a kapacity pro kontrolu přístupů – s cílem prosadit politiky přístupů v síti na základě koncepce nejmenších práv. Požadujte používání dostatečně silných hesel, resp. dalších kvalitních autentizačních postupů.
• 4. Udržujte integritu sítě, serverů a uživatelů (záplaty, ochrany proti virům, červům a spyware).
• 5. Jednotlivá zařízení v síti musí podléhat kontrole shody (compliance). To se týká kompletně všech zařízení včetně bezdrátových.
• 6. Zajistěte ochranu informací, které jsou používány pro správu sítě a její bezpečnostní mechanismy (IPSec, SSH, …). Disponujte stanovenými postupy pro zálohy konfigurací a pro správu změn.
• 7. Informace uživatelů musí být chráněny (to se týká bezdrátových komunikací, VLAN atd.)
• 8. Mějte přehled o velikosti provozu v síti, o hrozbách a zranitelnostech jednotlivých bezpečnostních zón a používejte prostředky pro blokování nepatřičného provozu.
• 9. Používejte vhodné bezpečnostní nástroje k ochraně před hrozbami a k zajištění výkonu kritických aplikací.
• 10. Zajištěny musí být logy událostí, zejména těch, které jsou důležité z hlediska bezpečnosti a z hlediska požadavků auditu.

Jan Šindelář na Živě v článku Nebezpečné mýty o bezpečnosti sítí hovoří o tom, že běžní uživatelé i zkušení administrátoři se často nechávají ovlivnit hluboko zakořeněnými mýty a pověrami o počítačové bezpečnosti. Vyjmenovává čtyři nejnebezpečnější.

Přehled (Worldwide ISP Security Report – září 2005) zpracovaný firmou Arbor Networks, Inc. na základě údajů od 36 poskytovatelů internetových služeb z Ameriky, Asie a Evropy se týká problematiky poskytovatelů IS ve vztahu k bezpečnosti. Největší hrozbou jsou stále útoky DDoS. Viz také komentář na DDoS attacks still biggest threat.

10 pravidel, kterými ochráníte sebe a svůj počítač na Internetu, přináší Jakub Dvořák na Technetu (Jak se bezpečně chovat na Internetu).

Software

EU bude zkoumat, zda nejsou porušena anti-trustová pravidla ve vztahu k plánům Microsoftu v oblasti bezpečnosti – MS security bundling plan causes waves. Firma Symantec bude v záležitosti asistovat, popřela ale, že by se obrátila na soud se stížností – Symantec on Microsoft: We won't cry ‚antitrust‘.

Jaké nové bezpečnostní vlastnosti bude mít chystaný operační systém Windows Vista? Robert Vamosi v článku Windows Vista's new security features diskutuje možné varianty.

Operační systém OpenBSD 3.8 bude vydán 1.11 – jak je to s jeho vlastnostmi z hlediska bezpečnosti? V článku OpenBSD's network stack najdete interview se třemi vývojáři, kteří tuto verzi OpenBSD připravovali.

Analýzu šifrovací metody použité v programu Winzip obsahuje prezentace Analysis of the WinZip Encryption Method japonského autora Tadayoshi Kohno. Je zde poukázáno na některé nedostatky.

A ještě jednou komprimační software – tentokrát zranitelnost WinRAR. Ve verzi WinRAR 3.50 (ale může se týkat i předchozích verzí) byly nalezeny dvě zranitelnosti – WinRAR Format String and Buffer Overflow Vulnerabilities. Doporučen update na verzi 3.51.

Bezpečnostní expert Howard Schmidt požaduje, aby programátoři byli osobně odpovědní za bezpečnost svých programů. Ve svém vystoupení v Londýně hovořil o nedostatečném povědomí a znalostech programátorů v tomto směru (Developers ‚should be accountable‘ for security holes).

David Čepička, Andrew Brandt se v Odhalujeme nebezpečné programy (Internet) zabývají otázkou, jak identifikovat malware skrytý v systémových složkách Windows. Z úvodu: „V tomto článku se pokusíme objasnit způsob, jak identifikovat většinu systémových souborů Windows (a jak objevit neznámé soubory), takže budete moci snadno odlišit procesy neškodné a naopak užitečné od těch, které vám škodí. Rovněž vám prozradíme, jak sledovat běh každé aplikace spuštěné na vašem počítači, včetně nejnovější hrozby, která se nyní objevila; tou jsou skryté soubory programů umožňující napadení a následné využívání počítače útočníkem, tzv. rootkity.“

Hackeři, malware

Jaký je rozdíl mezi hackery dneška a minulosti – ukazuje se, že jsou to především peníze. Dnešní hackeři jdou tvrdě za finančními cíli – Mark Egan (Symantec) v Hacking for Dollars. Autor nejprve rozebírá současnou situaci a pak v závěru článku dává některá doporučení, která by měla být mj. implementována v bezpečnostní politice organizací:

• Neotvírejte přílohy mailů z neznámého či neočekávaného původu.
• Neklikejte na linky v podezřelých zprávách.
• Zaměstnanci by neměli odpovídat na maily, které požadují osobní údaje.
• Nestahovat neautorizovaný software.
• Zaměstnanci by neměli vyzradit uživatelovo ID a heslo.
• Všechny antiviry, firewally a další bezpečnostní technologie musí být v aktualizova­ném stavu.
• Zranitelnosti (operačního systému, dalšího softwaru) musí být záplatovány v nejkratších lhůtách zodpovědným technickým personálem.

Kevin Mitnick dnes vede počítačovou bezpečnostní firmu. V interview A convicted hacker debunks some myths odpovídal na novinářské dotazy vztahující se k problematice hackerských činností.

Autor článku The hackers who can put your IT security to the test Daniel Tomas diskutuje k otázce, jak jsou ve firmách využívány penetrační testy. Obrana proti hackerům se stává stále aktuálnějším problémem a jedním z prostředků je využití „hackerů“ (samozřejmě v opačném směru, jako prostředek ochrany).

IP-telefonie proniká do našeho povědomí stále šířeji a bohužel se také stává objektem činnosti hackerů – Telephone hacking and fraud. V článku je dokumentována nezbytnost existence příslušné bezpečnostní politiky organizace a je uvedeno několik případů z reálné praxe.

Jak chránit webovské aplikace před hackery, konkrétně před útoky typu SQL injection a dále útokem typu XSS (cross site scripting), tím se zabývá Caleb Sima (SPI Dynamics – že by původně Šíma?) v Hacker Protection for Your Web Applications. Ukazuje, co je podstatou těchto útoků, a popisuje vhodné ochranné prostředky. Podobnými otázkami ve vztahu k aplikacím v bankovnictví se zabývalo vystoupení pana Fabrice na konferenci HITBSecConf2005 v Kuala Lumpur – viz jeho prezentaci Hacking Internet Banking Applications .

Žebříček spyware za září 2005 najdete zde – Sunbelt announces September's Top Ten spyware threats. Vítězí nezničitelný ISTbar.

Jak jsou na tom firmy z hlediska spyware  – to je obsahem přehledu Survey Exposes Absence of Workplace Controls on Spyware. Přehled zpracovala firma Blue Coat na základě odpovědí 999 respondentů. Z výsledků:

• 61 procent respondentů si myslí, že jejich firma nemá v tomto směru žádnou politiku.
• Uživatelé chtějí, aby za odfiltrování spyware zodpovídali poskytovatelé Internetu.
• Jen deset procent respondentů soudí, že za problém spyware by měli být odpovědni zaměstnanci.

Viz také Users want ISPs to filter spyware.

Objevil se trojan pro herní konzoli Nintendo (Virus writers create Nintendo DS Trojan). Trojan DSBrick přepisuje části paměti, a znemožňuje tak obvyklý boot.

V Holandsku byli uvězněni tři hackeři – Dutch police arrest botnet trio. Vytvořili síť obsahující sto tisíc botů (!) a s jejich pomocí získávali informace o kreditních kartách a bankovních účtech.

Zajímavý a ucelený materiál k problematice sítí botů najdete ve studii The Zombie Roundup: Understanding, Detecting, and Disrupting Botnets Michiganské univerzity.

Objevila se druhá část seriálu Cracking a ochrana pred ním věnovaná registračním číslům. Z abstraktu: V ďalšej časti seriálu sa zameriame na jednu z najdôležitejších častí ochrany každého shareware programu – bezpečné generovanie a overovanie registračných čísel. Na návrhu tohoto algoritmu stojí a padá možnosť vytvorenia crackerovho generátora registračných čísel k programu.

Bezdrát, RFID

V Praze proběhl v jarních měsících průzkum společnosti Ernst & Young vztahující se bezdrátovým sítím a jejich zabezpečení. Komentáře k výsledkům průzkumu najdete zde – Bezpečnost Wi-Fi sítí v Praze je zatím tragická a zde – Máte své bezdrátové sítě bezpečné?.

Více se o problematice bezpečnosti bezdrátových sítí můžete dozvědet z kapitoly Chapter 14: Wireless Network Security knihy Inside Network Perimeter Security, kterou lze volně stáhnout. Obsahuje mj. přehled 802.11, hovoří o použitých bezpečnostních nástrojích a dává (pro účely auditu) přehled známých existujících crackovacích nástrojů.

V článku Is RFID secure? diskutuje Joanie Wexler některé známé problémy (informace chodí nezašifrovaně) a jejich možné důsledky.

Bankovnictví

Ve Spojených státech byla vydána (Federal Financial Institutions Examination Council – FFIEC) nová doporučení vztahující se k internetbankingu ve formě přiručky Authentication in an Internet Banking Enviroment. Komentář najdete v blogu RSA – Feds provide guidance to financial institutions: make multiple factor authentication available for online banking.

Robert Lemos v Fingerprint payments taking off despite security concerns popisuje systém plateb využívající otisk prstu, s tím spojené výhody i pochyby o bezpečnosti. Viz také Platba otiskem prstu – dokonalé či nebezpečné?

Vyšlo nové číslo časopisu Journal of Internet Banking and Commerce (Summer 2005, vol. 10, no. 2), je k dispozici online – JIBC. Starší čísla jsou zde .

Normy a normativní dokumenty

Vyšla nová verze (v pořadí pátá) draftu skupiny LTANS – Long-Term Archive Service Requirements .

Dále se objevilo rfc The SEED Cipher Algorithm and Its Use with IPsec .

Kryptografie

V článku Mathematician rides curve toward new type of security najdete rozhovor se Scottem Vanstone, propagátorem eliptické kryptografie a zakladatelem Certicomu, a dozvíte se, jaká byla historie toho všeho okolo.

Ještě k Certicomu – Security Builder SSL (Certicom) jako první splnil požadavky NSA (Suite B Crypto Requirements). Tyto požadavky říkají, že pro dohodu na klíči a pro digitální podpis musí být použita eliptická kryptografie a pro šifrování algoritmus AES  – viz First Security Protocol Module to Meet NSA Suite B Crypto.

Různé

Jak to bude s novým trestním zákoníkem, resp. s jeho pasážemi, které se vztahují k problematice informační bezpečnosti – jaký návrh projde sněmovnou? Celá řada odborníků se podepsala pod dokument Názor odborníků z oblasti ochrany informačních systémů k upřesnění návrhu trestního zákoníku. Viz také Přijme Parlament zákon neodlišující vědce od hackerů?; Budeme posílat vědce do vězení? ; Čeští vědci se bojí, že je zákon neodliší od hackerů. O tom, jak to nakonec v parlamentu probíhalo a jak to dopadlo (včetně zákulisních detailů), si lze přečíst v článku V. Klímy (Bude kryptoanalýza v Česku trestána vězením? – zřejmě už ne!) v říjnovém čísle Crypto-Worldu (nutná registrace – je zdarma).

Přehled vychází z průběžně publikovaných novinek na Crypto – News.